网络安全已成为关乎国家安全、经济发展和社会稳定的战略基石。我国通过多年探索实践,逐步形成了以“3保1评1认证”为核心的网络安全合规体系架构。这套看似复杂的框架如何运作?各项制度之间如何协同?今天,我们将深入解析等保、分保、关保、密评及商密认证的联系与区别,为企业和组织提供清晰的合规路线图。
一、网络安全合规体系的五大支柱
1. 网络安全等级保护(等保)
作为我国网络安全的基本制度,等保依据《网络安全法》第二十一条确立,要求网络运营者按级别履行安全保护义务。该制度将信息系统分为五级,根据系统遭受破坏后对国家安全、社会秩序、公共利益以及公民法人合法权益的危害程度确定保护等级:
- • 第一级(自主保护级):系统破坏后损害程度最低,由运营者自主保护
- • 第二级(指导保护级):系统破坏后会造成一定损害,在主管部门指导下实施保护
- • 第三级(监督保护级):系统破坏后会造成严重损害,须接受国家监督
- • 第四级(强制保护级):系统破坏后会造成特别严重损害,国家强制监管
- • 第五级(专控保护级):系统破坏后对国家安全造成极端严重损害,由国家专门控制保护
等保2.0时代的工作流程包括定级、备案、建设整改、等级测评和监督检查五个环节,覆盖了网络与信息系统的全生命周期安全管理。
2. 涉密信息系统分级保护(分保)
分保是国家在涉密领域的专门保护机制,依据《保守国家秘密法》和《涉及国家秘密的信息系统分级保护管理办法》实施,由国家保密局监管。与等保不同,分保专门针对处理国家秘密的信息系统,根据涉密程度分为三个级别:
- • 秘密级
- • 机密级
- • 绝密级
保密级别越高,监管要求越严格:秘密级和机密级系统需每两年至少进行一次安全保密测评,绝密级系统则需每年一次。分保工作流程包括系统定级、方案设计、工程实施、系统测评、系统审批、日常管理、测评与检查以及系统废止等环节。
3. 关键信息基础设施保护(关保)
关保是在网络安全等级保护基础上对重点目标的强化保护。根据《网络安全法》第三十一条和《关键信息基础设施安全保护条例》,关保覆盖公共通信、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域。
关保的核心是“重点保护”,其工作流程包括识别认定、安全防护、检测评估、监测预警、事件处置五个环节。安全防护能力分三个等级评估,从能力等级1到能力等级3,逐级增高,高级别能力要求包含所有低级别要求。
4. 商用密码应用安全评估(密评)
密评依据《密码法》设立,主要评估商用密码应用的合规性、正确性和有效性。其评估对象主要包括三类:
- • 关键信息基础设施
- • 网络安全等级保护第三级及以上信息系统
- • 国家政务信息系统
评估周期为每年至少一次,工作流程包括确定评估对象、开展测评工作、输出密码测评报告和密评结果上报四个阶段。《密码法》第三十七条规定,对未按要求开展密评的关键信息基础设施运营者,密码管理部门可责令改正、给予警告,拒不改正或导致严重后果的,将处十万元以上一百万元以下罚款。
5. 商用密码产品认证(商密认证)
商密认证是指依据国家标准和行业标准,由国家密码管理局认可的检测机构对商用密码产品进行检测认证的制度。通过认证的产品才能在我国市场销售和使用,确保其安全性和合规性。
例如某信安天机存储系统就是一款通过商密认证的产品,该系统基于国产安全操作系统开发,采用SM2、SM3、SM4等国产密码算法,支持飞腾国产CPU和X86计算平台,提供文件加密、磁盘加密、容灾备份等多种功能。
二、环环相扣:五大制度的内在联系
1. 法律基础与制度定位
等保作为网络安全的基本制度,是其他保护措施的基础。分保可视为等保在涉密领域的具体实施,关保则是在等保基础上对关键目标的重点强化。密评作为专项评估,为等保和关保提供密码应用层面的安全保障。
《网络安全法》第二十一条确立的等级保护制度实际上包含了公安、保密、密码三个管理部门监管的方向,等保、分保、密评共同组成了完整的“网络安全等级保护制度”。
2. 评估对象与范围覆盖
- • 等保对象最广:基本覆盖全部网络和信息系统
- • 分保对象最专:仅限涉密信息系统
- • 关保对象最精:聚焦关键行业核心系统
- • 密评对象居中:覆盖关键信息基础设施、等保三级及以上系统和重要信息系统
3. 评估内容与技术衔接
在评估内容上,关基安全检测评估包含了等级测评和密评的所有内容,而密评的部分评估内容直接来自等级保护基本要求中关于密码的相关要求项。
技术实施上,密码技术是保障等保三级以上系统和关键信息基础设施安全的核心手段。等保基本要求明确规定了各级系统在哪些环节必须使用密码,而密评则验证这些密码应用的合规性和有效性。
三、五大制度的核心差异
| 维度 | 等保 | 分保 | 关保 | 密评 | 商密认证 |
| 监管主体 | 公安机关 | 国家保密局 | 网信部门 | 密码管理部门 | 国家密码管理局 |
| 法律依据 | 《网络安全法》 | 《保守国家秘密法》 | 《关键信息基础设施安全保护条例》 | 《密码法》 | 《商用密码管理条例》 |
| 适用对象 | 所有非涉密网络和信息系统 | 涉密信息系统 | 关键信息基础设施 | 关键基础设施、等保三级以上系统等 | 商用密码产品 |
| 等级划分 | 五级(一级最低,五级最高) | 三级(秘密、机密、绝密) | 三级能力等级 | 不划分等级 | 不划分等级 |
| 评估周期 | 三级以上每年一次,二级建议两年一次 | 秘密/机密级两年一次,绝密级每年一次 | 每年至少一次 | 每年至少一次 | 认证有效期内 |
| 核心目的 | 建立基础安全防护体系 | 保护国家秘密安全 | 强化关键设施防护 | 确保密码应用合规有效 | 保障密码产品质量 |
1. 监管主体与对象差异
- • 等保由公安机关监管,覆盖所有非涉密网络和信息系统
- • 分保由国家保密局监管,专门针对涉密信息系统
- • 关保由网信部门统筹协调,相关部门负责本行业监管
- • 密评由密码管理部门监管,聚焦密码应用环节
- • 商密认证由国家密码管理局管理,针对商用密码产品
2. 评估周期与要求差异
虽然三级以上等保系统、关键基础设施和商用密码应用安全都要求每年至少评估一次,但具体执行时间可以协调安排,避免重复测评。
对于定级,等保采用“定级过低不允许、定级过高不可取”的原则,企业应根据业务实际情况合理定级,避免因定级不当导致安全责任履行不到位的风险。
3. 评估结论形式差异
- • 等保测评:结论为优、良、中、差,得分采用百分制,70分及格
- • 密评:结论为符合、部分符合、不符合
- • 分保:通过/不通过的二元结论
- • 关保:能力等级(1-3级)评定
- • 商密认证:颁发产品认证证书
四、实战指南:协同实施路径
1. 统筹规划避免重复建设
对于被识别为关键基础设施的系统,可采取一体化实施路径:
- • 先确定等保级别:依据系统重要性合理定级
- • 进行关键基础设施识别:确认是否属于关保范围
- • 同步规划密码应用方案:结合等保要求和密评标准
- • 整合开展等保测评与密评:共享评估结果,减少重复工作
- • 最后进行关基安全检测评估:在前两者基础上全面评估
2. 人员能力认证选择建议
在“1认证”方面,网络安全人员可根据职业发展方向选择合适认证:
- • 国内政企/等保测评岗位:CISP(注册信息安全专业人员) 是必备证书,由中国信息安全测评中心颁发,内容与国内法规高度契合
- • 国际企业/安全管理岗:CISSP(国际注册信息系统安全专家) 是全球通行的顶级认证,但需5年相关工作经验
3. 成本控制与资源优化
为避免资源浪费,企业可采取以下策略:
- • 系统整合:将功能相近、安全需求相似的系统合并定级,减少测评对象数量
- • 整改优先级:根据风险评估结果,优先处理高风险项
- • 技术复用:选择已通过商密认证的集成产品,如某信安天机存储系统,可同时满足等保、密评中的加密要求
- • 内部培养:通过CISP等认证培养内部专业人员,降低长期咨询成本
五、合规体系的发展方向
随着数字技术的快速演进,“3保1评1认证”体系也面临新的挑战和发展机遇:
1. 技术演进带来的新要求
云计算、物联网、人工智能等新技术的广泛应用,使传统安全边界逐渐消失。等保2.0已将云计算、物联网、移动互联等新业态纳入保护范围,但具体实施标准仍需持续完善。密码技术也需适应新型计算架构,如同态加密、量子安全密码等前沿技术将逐步纳入商密认证体系。
2. 制度协同的深化
为避免多头管理、重复测评,国家正推动“一次检测、结果共享”的协同机制。《密码法》明确要求密评与等保、关保进行衔接,减少重复评估。未来可能进一步整合测评标准,形成统一框架下的多维度评估体系。
3. 自主可控要求提升
在中美科技竞争背景下,国产化替代成为重要趋势。商密认证全面推广SM2、SM3、SM4等国产密码算法,某信安等国产密码产品在党政军领域得到广泛应用。未来等保、分保、关保对自主可控的要求将持续提高,推动国产安全产业发展。
4. 责任主体进一步明确
《关键信息基础设施安全保护条例》首次明确了运营者的主体责任,要求设立专门安全管理机构,并对负责人实施安全背景审查。未来各制度的责任划分将更加清晰,个人责任追究机制也将逐步完善。
“3保1评1认证”不是各自为政的独立要求,而是一套纵横交织、互为支撑的网络安全纵深防御体系。等保是基础,分保是特例,关保是重点,密评是专项,商密认证是保障。五者共同构成了中国特色的网络安全防护网。
对组织而言,理解这些制度的内在联系与区别,实施一体化合规策略,不仅能满足监管要求,更能切实提升整体安全防护能力。
文章来源:HACK之道
暂无评论内容